Crear una política DMARC

Generalidades

La autenticación, informe y conformidad de mensajes basados ​​en dominio (DMARC) es una política de correo electrónico entrante construida sobre registros SPF y DKIM, diseñada para detectar y prevenir correos electrónicos fraudulentos.

Cuando agregas una política DMARC a tu dominio, eliges informar al destinatario que tus correos electrónicos están protegidos por registros SPF y/o DKIM, y qué hacer si tu política DMARC no se alinea con esos registros.

Ejemplo del proceso de envío de DMARC

  1. El remitente agrega una política DMARC a tu dominio.
  2. Un correo es enviado.
  3. El destinatario verifica si el correo electrónico contiene una política DMARC.
  4. Si es así, los registros SPF/DKIM mencionados en la política DMARC del remitente se validan.
  5. Si los registros SPF/DKIM pasan la validación, deben pasar algo llamado 'alineación'.
  6. Si la 'alineación' se pasa, se recibe el correo electrónico.

Si no se pasa la 'alineación' (incluso si se pasa la verificación SPF/DKIM), el mensaje falla. Esto ayuda a garantizar que la actividad fraudulenta que parece provenir del dominio esté bloqueada.

¿Qué es la alineación?

La política DMARC verifica el nombre de dominio que figura en el campo From: del mensaje. Luego compara ese dominio con otros nombres de dominio autenticados que figuran en el encabezado del correo electrónico. Si son idénticos, tu política DMARC está alineada.

De lo contrario, debes comunicarse con tu servidor de correo electrónico y solicitar instrucciones sobre cómo asegurarte de que tus registros estén alineados.

Alineamiento estricto y relajado

La alineación en tu política puede establecerse como estricta o relajada.

  • Alineación estricta — los dominios deben ser idénticos
  • Alineación relajada — el "dominio organizacional" de nivel superior debe coincidir

El 'Dominio organizacional' es tu nombre de dominio seguido de su sufijo. Por ejemplo:

  • example.com
  • example.net
  • example.com.au

¿Qué pasa si el mensaje falla la alineación?

La política DMARC del remitente contiene información sobre cómo manejar los correos electrónicos que fallan en la autenticación. Se pueden crear dos tipos de informes:

  • Reportes agregados — enviado como formato XML una vez al día, que consiste en datos agregados de todas las fallas de DMARC
  • Reportes forenses (aka informes de falla) — generado de inmediato y consiste en correos electrónicos individuales que fallaron

Configurar una política DMARC

  1. Configura un registro SPF y/o DKIM en tu dominio.
  2. Envía un correo electrónico a ti mismo (u otra dirección que poseas). Una vez recibido, veas tus encabezados. Verifica la alineación del dominio identificando el dominio listado como la dirección de envío. Se puede ubicar en los siguientes lugares:
    • El Sobre From dominio —  From: admin@example.com
    • El caminio de regreso — <admin@example.com>
    • El d=dominio en la firma DKIM — DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=example.com;
    Los dominios mencionados en todas estas áreas deben ser idénticos, de lo contrario, DMARC fallará en la alineación.
  3. Crea dos direcciones de correo electrónico separadas para recibir informes forenses y agregados diarios de DMARC. Se recomienda que cree dos direcciones de correo electrónico, ya que puede recibir una gran cantidad de informes. Por ejemplo:

    • dmarc_agg@example.com
    • dmarc_forensic@example.com
  4. Crea el registro TXT.
    1. En tu panel, navega a la página Manage Domains.
    2. Haz clic en el enlace 'DNS' debajo de tu dominio.
    3. Cuando se abra la siguiente página, ingresa un nuevo registro TXT como se muestra en el siguiente ejemplo:
      • Name — _dmarc
      • Type — TXT
      • Value — A continuación se muestra una configuración básica que maneja la mayoría de tus necesidades de DMARC. Solo asegúrate de ajustar las direcciones de correo electrónico a las direcciones que creaste anteriormente para recibir informes entrantes.
        v=DMARC1; p=none; fo=1; rua=mailto:dmarc_agg@example.com;ruf=mailto:dmarc_forensic@example.com;pct=100
        Ve la sección a continuación para obtener más detalles sobre las diferentes opciones que puedes usar.

Dentro de 4-6 horas, el registro se actualizará en línea.

Etiquetas que puedes usar en tu registro DMARC

Etiquetas requeridas

Hay 2 etiquetas requeridas, vp.

La etiqueta v

La etiqueta v identifica el registro de texto como un registro DMARC. Esta debe ser la primera etiqueta y tener un valor de DMARC1.

La etiqueta p

La etiqueta p identifica la acción que el propietario del dominio solicita al destinatario que tome para los mensajes fallidos. Las opciones son:

Etiqueta Descripción
p=none No se debe realizar ninguna acción para los correos electrónicos que fallan la autenticación DMARC.
p=quarantine Si un correo electrónico falla la autenticación DMARC, debe tratarse como sospechoso. Cómo se maneja esto depende del destinatario, por ejemplo, se puede colocar en una carpeta de SPAM.
p=reject Si un correo electrónico falla la autenticación DMARC, el destinatario debe rechazar el correo electrónico durante la transacción SMTP.

Etiquetas de correo

Estos indican dónde se envían los informes.

Etiqueta Descripción
rua=mailto:dmarc_agg@example.com Esta dirección es donde se deben enviar los informes agregados de DMARC.
ruf=mailto:dmarc_forensic@example.com Indica a dónde se deben enviar los informes forenses de DMARC.

Etiqueta de informe

fo controla cuando se crea un informe de falla.

Etiqueta Descripción
0 Crea un informe si todos los pasos de autenticación fallan. (Defecto)
1 Crea un informe si alguno de los pasos de autenticación falla.
d Crea un informe de falla DKIM si el mensaje tenía una firma que falló la evaluación.
s Crea un informe de fallas SPF si el mensaje falló en la autenticación SPF.

Se recomienda una configuración de fo=1 ya que proporciona la mayor cantidad de datos sobre cualquier falla.

Etiquetas opcionales

Las siguientes etiquetas usan un valor predeterminado si la etiqueta no está configurada:
Etiqueta Descripción
adkim Establece una alineación de identificador DKIM estricta o relajada. (El valor predeterminado es relajado).
aspf Establece una alineación de identificador SPF estricta o relajada. (El valor predeterminado es relajado).
rf Formato para informes de fallas. (El valor predeterminado es Formato de informe de falla de autenticación, o 'AFRF').
ri Establece el número de segundos entre el envío de informes agregados. (El valor predeterminado es 86,400 segundos, o un día).
pct Establece el porcentaje de mensajes a los que se aplica DMARC. Establecer esto en 100 se aplicaría a cada correo electrónico y se recomienda.

Etiqueta de subdominio

La etiqueta sp se usa para establecer una política de informes diferente para un subdominio. Por ejemplo, puede configurar el dominio primario para usar p=reject mientras configura todos los subdominios bajo este dominio para usar sp=quarantine.

Etiqueta Descripción
sp Establece una política de informes para el subdominio, diferente del dominio principal. Por ejemplo:
v=DMARC1; p=none; sp=quarantine;fo=1; rua=mailto:dmarc_agg@example.com;ruf=mailto:dmarc_forensic@example.com;pct=100<

Ver también

¿Este artículo ha respondido sus preguntas?

Última actualización el PST.

¿Aún no encuentra lo que busca?